Защита инфраструктуры виртуализации с помощью ПАК «Аккорд-В.» и «Сегмент-В.» (3/7)

Установка ПАК «Аккорд-В.»

Здравствуйте!

В данной лекции мы поговорим об установке ПАК «Аккорд-В.». Сначала рассмотрим порядок установки и настройки комплекса. Поговорим о разделении ролей его администраторов, о создании и настройке их учетных записей. Посмотрим, как происходит установка СПО «Аккорд-В.» и копирование лицензии на комплекс.

 Как я уже не раз отмечала на прошлых лекциях, ПАК «Аккорд-В.» состоит из аппаратных и программных компонент. При этом каждую из этих компонент перед началом работы необходимо установить и настроить. Порядок установки и настройки компонент комплекса представлен на слайде в виде таблицы.

Обращу внимание, что изначально предполагается, что система виртуализации VMware vSphere  уже установлена и соответствующим образом сконфигурирована администратором виртуальной инфраструктуры (АВИ). 

Как мы видим, для установки комплекса необходимо сначала установить аппаратную часть комплекса – СЗИ НСД «Аккорд-АМДЗ» на АРМ АБИ/АВИ, на vCenter (если он физический), на сервер с сервисом регистрации событий (если используется отдельный сервер) и на ESXi-серверы. Вопрос установки и настройки «Аккорд-АМДЗ» мы уже подробно рассматривали на предыдущих лекциях, поэтому сейас не будем останавливаться на этом. Есть только несколько моментов, на которые хотелось бы обратить внимание.

Первый – в ряде случаев на материнской плате СВТ, используемых в качестве ESXi и vCenter (если он физический) может отсутствовать свободный слот PCI/PCI-Express. В этих случаях вместо «Аккорд-АМДЗ» можно использовать СЗИ НСД «Инаф», подключаемый в USB-порт СВТ. Об этом СЗИ мы не говорили ранее, но оно реализует те же функции, что и «Аккорд-АМДЗ». При этом подключается не в слот PCI/PCI-Express, а во внешний или внутренний USB-порт СВТ.

Второй момент, который хотелось бы отметить – существуют некоторые рекомендации по настройке «Аккорд-АМДЗ» для использования в данном комплексе. С ними Вы можете ознакомиться в методических материалах лекции – документе «Руководство по установке» для ПАК «Аккорд-В.». 

После установки «Аккорд-АМДЗ» необходимо установить ПО «ПИ ШИПКА», если при работе с ПО разграничения доступа на АРМ АБИ/АВИ, vCenter, сервере с сервисом регистрации событий и на виртуальных машинах в качестве идентификаторов используется ПИ ШИПКА. Это делается в соответствии с документацией на ПАК «ПИ ШИПКА», с которой также можно ознакомиться в методических материалах к лекции.

Затем нужно установить само ПО разграничения доступа на те же компоненты системы, что и для ШИПКи. То есть нужно установить СПО «Аккорд-Win32 TSE» / «Аккорд‑Win64 TSE» / «Аккорд-X» или «Аккорд-XL». Установку и настройку СПО разграничения доступа как для ОС Windows, так и для ОС Linux мы также подробно рассматривали на предыдущих лекциях, здесь все выполняется аналогично. Чуть позже мы рассмотрим только некоторые особенности настройки «Аккорд-Win64» TSE на сервере с vCenter.

После установки и настройки СПО разграничения доступа необходимо на АРМ АБИ/АВИ выполнить установку ПО управления комплексом – модулей «Аккорд-В.». Потом провести установку агентов «Аккорд-В.» на ESXi и установку и настройку сервиса регистрации событий на АРМ АБИ/АВИ или на сервере с сервисом регистрации событий (если используется отдельный сервер). Также на АРМ АБИ/АВИ нужно предъявить лицензию на комплекс и выполнить ряд других операций настройки, приведенных на слайде.

На этой и следующих лекциях мы рассмотрим подробно установку и настройку только тех компонент комплекса, которые мы не рассматривали ранее.

Есть еще один важный момент, на который необходимо обратить внимание до начала установки и настройки: нужно выполнить разделение ролей администраторов, создание их учетных записей на vCenter и настройку этих учетных записей. Мы уже упоминали этот вопрос на прошлой лекции, вернемся к нему еще раз и рассмотрим его чуть подробнее. При этом будем рассматривать вариант с vCenter и Active Directory.

В инфраструктуре виртуализации необходимо выделить две роли:

• администратор безопасности информации (АБИ)
• администратор инфраструктуры виртуализации (АВИ).

Для этого следует на АРМ управления комплексом vSphere в Active Directory завести учетные записи АБИ и АВИ.

Дополнительно следует завести также учетную запись для сервиса регистрации событий. Для данной учетной записи рекомендуется отключить возможность локального входа в систему (параметры групповой политики в Active Directory).

АБИ должен быть администратором в СПО разграничения доступа и пользователем в Windows. И наоборот, АВИ должен быть пользователем в СПО разграничения доступа и администратором в Windows. В таком случае администратор безопасности имеет возможность управлять распределением прав доступа (механизмами СПО разграничения доступа), но не имеет доступа к самим ресурсам (в силу соответствующих настроек Windows).

Для АБИ и сервиса регистрации событий нужно назначить «Read Only» права на vCenter (корневому элементу) с галочкой propagate, отвечающей за наследование. Как это сделать, можно увидеть на слайде.

Учетная запись АБИ должна иметь полный доступ к папке с установленным ПО «Аккорд-В.»: «C:\Program Files (x86)\OKB SAPR\Accord-V» – данный пункт настраивается средствами операционной системы. Дополнительно необходимо с помощью СПО разграничения доступа «Аккорд-Win32/64» TSE оставить эту папку доступной только для АБИ.

Назначаемая роль АВИ на vCenter зависит от должностных обязанностей. Примером такой роли может служить роль Virtual Machine user (sample), которая дает права на взаимодействие с уже существующими ВМ.

После выполненных настроек можно приступить к установке дистрибутива СПО «Аккорд-В.». Первое, что необходимо сделать – это запустить исполняемый файл установки Accord-V.exe.

Для его запуска необходимо обладать правами администратора. Поэтому нажмем правой кнопкой мыши на данный исполняемый файл и выберем «Запуск от имени администратора». Начинается установка и необходимо выбрать язык (русский или английский). Выберем «Русский», нажмем «Ок».

После чего необходимо выбрать папку назначения. По умолчанию указан следующий каталог (C:\ProgramFiles\OKBSAPR\Accord-V). Можно ничего не менять, либо указать требуемый.

Затем нужно ознакомиться с лицензионным соглашением и нажать «Принимаю». После чего нужно выбрать компоненты установки. Полная установка предполагает, что будут установлены и ПО управления комплексом, и Сервис регистрации событий. Как я уже говорила, эти компоненты могут функционировать как на одном АРМ, так и на разных АРМах, поэтому может понадобиться их выборочная установка. Мы установим обе компоненты.

Если перейти на закладку «Выбор папки назначения», то мы снова увидим папку, которую только что выбрали. А также увидим требуемое для установки и имеющееся свободное место на ж/д.

Вернемся на закладку «Компоненты» и нажмем «Установить». После этого начнется установка выбранных компонент в папку назначения. Подождем некоторое время. Мы видим, что на рабочем столе установщик создал несколько ярлыков. По завершению установки нажмем «Готово».

Далее необходимо выполнить копирование лицензии на комплекс в папку с установленным ПО. Для этого перейдем в эту папку (напомню, что по умолчанию – это C:\ProgramFiles (x86)\OKBSAPR\Accord-V). Затем нужно скопировать в эту папку предоставленный производителем файл лицензии license-v.lic, скопируем его. Для копирования в данную папку файла лицензии необходимо обладать правами администратора. Нажмем «Продолжить» и файл лицензии будет успешно скопирован в указанную папку.

Итак, на данной лекции мы рассмотрели порядок установки и настройки ПАК «Аккорд-В.». Поговорили о разделении ролей его администраторов, о создании и настройке их учетных записей. Посмотрели, как происходит установка СПО «Аккорд-В.» и копирование лицензии на комплекс. На следующей лекции мы поговорим об установке агентов «Аккорд-В.» и сервиса регистрации событий. А также начнем рассматривать настройку СПО «Аккорд-В.».

Спасибо за внимание, до встречи на следующей лекции!